[dns-esp] consulta sobre opciones para bind

Miguel Angel Amador sysadmin en motd.cl
Mie Jun 14 20:28:56 -04 2017 

Gracias Mave...

 me diste la opción para investigar, y estoy buscando la opción para el
max*query*client* , esto fue un problema que se me presento en una red
interna, sobre un servicio de dns que es resolver hacia internet y
autoritativo para zonas internas. este equipo tiene una vip (ipvip -
anycast por ospf ) por donde se consulta el servicio, que es levantada
sobre una interfaz que ya tiene una ip.  (ipif).
 El problema fue que por una degradación en el firewall que presta el
servicio de internet, se presento un problema a nivel de dns en que este
dejo de responder. básicamente el problema fue que al aumentar latencia y
no haber respuestas a las consultas hacia internet, la ip de la vip dejo de
contestar consultas al servicio DNS; no asi contestar ping (el ospf no
cayo), tampoco hubo un problema de capacidad, pues la maquina tiene muchos
recursos, y tampoco dejo de responder consultas por la ip configurada en la
interfaz (ipif).  Por lo que la conclusión es que el listener que estaba en
la vip llego a su máxima capacidad y por eso dejo de contestar nuevas
querys. (el limite al que llego fue cerca de las 2100 querys/s), esto
porque al haber problemas con las consultas enviadas a internet, y no tener
respuesta, no concluía las conexión esperando la respuesta desde Internet.
esto solo afecto a la vip, la otra interfaz respondía sin problemas las
consultas y la maquina tenia recursos holgados . (de ahí que piense que era
un parámetro que llego a su limite).
 Por este motivo es que me surgen las consultas... si hay parámetros para
aumentar el máximo de querys y si se puede bajar el tiempo de espera para
las consultas forwardeadas. como dato adicional, no contestaba el servicio,
osea tampoco contestaba consultas internas, sin embargo se corto el
internet y el dns contestaba las consultas internas y daba timeout para las
externas.
  la maquina que provee el servicio de dns es una apliance de algun tipo de
felino azul... asi que los parametros del bind tampoco son tan ajustables,
pero tiene un bind por debajo.

Saludos,



El 14 de junio de 2017, 14:32, Mauricio Vergara Ereche <mave en cero32.cl>
escribió:

> Hola!
>
> Comento entre líneas
>
> 2017-06-14 11:17 GMT-07:00 Miguel Angel Amador <miguel en motd.cl>:
>
>> Estimados
>>  Recurro a esta lista para saber si alguien me puede guiar, existe alguna
>> opcion en bind, para una configuracion de dns recursivo, que hace forward
>> de las consultas a otro dns. que haga lo siguiente:
>>  - bajar el tiempo de espera de respuesta desde el dns al cual hace
>> forward, para matar la query antes del tiempo de espera por defecto. (bajar
>> el timeout)
>>
>
> si tienes el forwarder específico definido dentro de un zone {}, podrías
> usar los
> max-transfer-idle-in
> max-transfer-time-in
>
> Puedes revisar las opciones de la versión en específico que tengas en el
> BIND ARM (Doc PDF que puedes buscar en isc.org o que tal vez tengas tu
> mismo dentro de tu distribución / codigo fuente)
> ...o sino, puedes buscar como referencia las opciones más genéricas para
> BIND 9 acá:
> http://www.zytrax.com/books/dns/ch7/xfer.html#max-retry-time
>
>
>>  - manejar el maximo numero de querys que puede responder el servicio de
>> dns.
>>
>
> Que yo sepa, esa opción no la conozco... pero puedo equivocarme.
> En realidad, nunca había pensado en querer limitar el número de queries en
> uno de mis servidores, sino que todo lo contrario :-)
>
>
>> Tuve un incidente donde la VIP de un servidor dns se colapso y no
>> contesto mas consultas, pero a traves de otras ip's configuradas en la
>> interfaz si respondia, esto debido a tiempos altos en la respuesta desde
>> los resolver a los cuales hacia forwarding.
>>
>
> Acá hay algo que no entiendo muy claro... pero por qué tiene que ser un
> forwarding y no directamente un recursivo?
> Son zonas privadas?
>
> Saludos!
>
> --
> Mauricio Vergara Ereche
> Los Angeles, CA
> http://mave.cero32.cl
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.nic.cl/pipermail/dns-esp/attachments/20170614/3f1fcecc/attachment.html>

Más información sobre la lista de distribución dns-esp